Tarayıcı Şirketi, Arc tarayıcısında CVE-2024-45489 adlı bir güvenlik açığı duyurdu. Arc tarayıcısı güvenlik açığı 25 Ağustos 2024’te keşfedildi ve bir gün içinde ele alındı, Arc kullanıcılarının potansiyel tehditlerden korunmasını sağlamak.
The Browser Company’nin Teknoloji Sorumlusu ve kurucu ortağı Hursh, Arc tarayıcısındaki güvenlik açığının, kullanıcı verilerini korumak için kullanılan Firebase Erişim Kontrol Listelerindeki (ACL) yanlış yapılandırmadan kaynaklandığını bildirdi.
Bu kusur, kullanıcıların cihazlarında uzaktan kod yürütülmesine olanak sağlama potansiyeline sahipti ve yetkisiz kişilerin özelleştirilmiş komut dosyaları ve stiller aracılığıyla web sitesi işlevlerini manipüle edebilmesi riskini yaratıyordu. Neyse ki şirket, açığı ilk bildiren güvenlik araştırmacısı dışında herhangi bir kötü niyetli aktörün istismar etmediğini bildirdi.
Arc Browser Güvenlik Açığının Zaman Çizelgesi
25 Ağustos 2024’te, The Browser Company tarafından Arc tarayıcısında bir güvenlik açığı keşfedildi. Ertesi gün, 26 Ağustos 2024’te, sorun düzeltildi ve düzeltme tüm kullanıcılara sunuldu. Hursh, bu güvenlik olayının ciddiyetine rağmen hiçbir kullanıcının etkilenmediğini vurguladı. Firebase erişim günlüklerinin kapsamlı bir incelemesi, özel “Boosts”ların yaratıcı kimliklerindeki tek değişikliğin raporlama araştırmacısı tarafından yapıldığını doğruladı.
Arc, kullanıcıların özel CSS ve JavaScript kullanarak web sitelerini özelleştirmelerine olanak tanıyan “Boosts” olarak bilinen bir özelliği içerir. Bu özellik büyük bir esneklik sunarken, aynı zamanda güvenlik endişeleri de yaratır ve The Browser Company’yi özel JavaScript içeren Boosts’un kullanıcılar arasında paylaşılmasını sınırlamaya yöneltmiştir.
Ne yazık ki, Arc tarayıcısı güvenlik açığı, Boost ile ilişkili yaratıcı kimliğinde yetkisiz değişikliklere izin veren yanlış yapılandırılmış Erişim Kontrol Listelerinden (ACL’ler) kaynaklandı. Bu kusur, kullanıcıların özel betiklerini diğer kullanıcıların cihazlarında yürütmesine olanak tanıyabilir ve bu da bir risk oluşturabilirdi.
Azaltma Önlemleri
Arc tarayıcısı güvenlik açığına yanıt olarak şirket derhal harekete geçti. ACL yanlış yapılandırması derhal düzeltildi ve yetkisiz bir etkinlik olmadığından emin olmak için kapsamlı bir analiz gerçekleştirildi. Şirket, güvenlik araştırmacısı xyz3va’ya güvenlik açığını düzeltmede sorumlu açıklamaları ve iş birlikleri için minnettarlığını dile getirdi.
Bu olayın ardından birkaç önemli azaltma stratejisi uygulandı:
- Tarayıcı Şirketi, olası güvenlik açıklarını tespit etmek amacıyla mevcut Firebase ACL’lerinde kapsamlı bir dış denetim başlattı.
- Senkronize Boost’larda özel JavaScript varsayılan olarak devre dışı bırakılacak ve bunları etkinleştirmek için açık kullanıcı izni gerekecektir.
- Şirket, gelecekte ACL ile ilgili güvenlik açıklarının riskini azaltmak için yeni özellikler için Firebase’dan uzaklaşmayı planlıyor.
- Kullanıcıların güvenlik açıkları, azaltma stratejileri ve etkilenen taraflar hakkında bilgilendirilmesini sağlamak için yeni bir iletişim kanalı oluşturulacak.
- Her ne kadar resmi bir hata ödül programı hala üzerinde çalışılsa da şirket bildirilen güvenlik açıkları için ödüller vermeye başladı.
- The Browser Company, güvenlik çalışmalarını güçlendirmek için yeni bir kıdemli güvenlik mühendisi işe aldı.
Gelecek Yönleri
The Browser Company, güvenlik uygulamalarında ve kullanıcı iletişiminde sürekli iyileştirme ihtiyacını fark ettiklerini belirtti. The Browser Company, daha sıkı protokoller uygulayarak ve yanıt çerçevesini iyileştirerek kullanıcılarına güvenliğe olan bağlılıklarını güvence altına almayı amaçlıyor.
Browser Company, bu deneyimden ders çıkarmaya ve gelecekte kullanıcıları etkili bir şekilde korumak için güvenlik duruşunu güçlendirmeye kendini adamıştır. Arc tarayıcısı kullanıcıları için, güvenlik açığı tamamen giderildiği için şu anda herhangi bir işlem yapılmasına gerek yoktur.